コラム
【初心者でも分かる】IT全般統制とは?構成する要素を解説
近年、企業の内部統制の中でIT部門での統制を図る「IT統制」が注目されています。IT技術の進化によって、内部統制をITで効率的に行う企業が増えているのです。
IT統制は、内部統制にITシステムを導入するための土台作りともいえるでしょう。中でも、ITシステム全体の業務をコントロールするのが「IT全般統制」です。
IT全般統制は、企業情報の信頼性の確保やITシステムの適切な運用管理を目的としています。当記事では、IT全般統制とはどのようなものか、解説します。
〈目次〉
IT全般統制とは内部統制に含まれる
内部統制とは
内部統制におけるIT全般統制の位置づけ
IT全般統制を構成する4要素
1.システムの開発、保守に係る管理
2.システムの運用・管理
3.内外からのアクセス管理等のシステムの安全性の確保
4.外部委託に関する契約の管理
IT全般統制のモニタリングとは
IT全般統制とは内部統制に含まれる
IT全般統制は、内部統制の1つです。IT運用に関わるIT内部統制の一要素として位置づけられます。
では、そもそも内部統制とはどのようなもので、どんな目的があるのでしょうか。内部統制の解説とIT全般統制の位置づけについて解説します。
内部統制とは
内部統制とは、企業が健全な事業活動を継続するための社内ルールや仕組みを指します。内部統制の目的は業務の効率化やミスや不正リスクの軽減、信頼性のある財務報告、社内ルールの遵守などが挙げられます。
詳細は「内部統制とは?」のコラム記事をご覧ください。
つまり、企業の課題点やリスクを調査・検討し、統制活動を行うということです。具体的には、稟議書の運用管理や社内ガイドラインの作成、セキュリティシステムの管理などがあります。
また、これらの活動を行ううえで「正常に機能しているのか」「改善点すべき点がないか」といった点をモニタリングします。この一連の流れを内部統制と呼びます。
内部統制におけるIT全般統制の位置づけ
内部統制の1つとして位置づけるIT全般統制は、ITシステムを安全かつ効率的に運用するための管理活動を指します。ITシステムの運用やその管理などを通じて、業務全般にかかる信頼確保や効率化が目的です。
つまり、内部統制におけるIT全般統制は、企業のITシステムの運用で生じるミスや不正を未然に防ぐ役割があります。
IT全般統制を構成する4要素
IT全般統制は4つの要素から成り立っています。これらの要素が統制され、適切なシステム運用がされているかを評価します。統制の効果を高めるためにも、それぞれの内容についてみていきましょう。
1.システムの開発、保守に係る管理
1つ目の要素は「システム開発、保守に係る管理」です。経営者が示す方針に沿った情報システムにするための運用や管理を行います。具体的な内容は次のとおりです。
・システムの開発や変更に伴う承認や否認
・開発に関する事前テストの実施
システム開発には手間やコストを多く生じることから、実現すべき内容を明確し、把握する必要があります。「システム開発、保守に係る管理」が不十分な場合、次のようなトラブルへと発展する可能性もあるため注意が必要です。
【例】
・保守契約を締結ぜず財務システムを刷新したため、会計基準の変更に対応できず、財務情報の正確性が担保できなくなった。
・開発したシステムのテストが十分に行われず、会計と在庫の数値に乖離が生じ、正確な財務情報を取得できなくなった。
2.システムの運用・管理
2つ目の要素は「システムの運用・管理」も、経営者が示す方針に沿った情報システムにするための運用や管理を行います。具体的には次のような項目が挙げられます。
・変更履歴のログの収集や管理
・保存データの定期的なバックアップなど
特に社内システムに関する不正や情報漏洩を防ぐためにも、運用と開発の担当者をそれぞれ分けて設置することが理想的です。「システムの運用・管理」が不十分な場合、次のようなトラブルへと発展する可能性もあるため注意しましょう。
【例】
・サーバーがダウンしてしまったが、サーバーダウンに対する対策を講じておらず、決算日までに財務上の数値を確定できなかった。
・バックアップを取らないままにプログラムを変更したため、売上や利益に関わるデータの誤削除に対応できず、正確な経理情報が取得できなくなった。
3.内外からのアクセス管理等のシステムの安全性の確保
3つ目の要素は「内外からのアクセス管理等のシステムの安全性の確保」です。企業の情報に関するセキュリティ強化やリスク対策を指します。
ITシステムのリスクとしては「データ改ざん」や「不正アクセス」などが代表的です。万が一これらに問題が起きれば、企業情報が不正に使われるなど、企業として大きな不利益を被りかねません。
リスクを回避するためにもアクセスやセキュリティに対する統制管理は重要です。具体的な内容は次のようなものがあります。
・アクセス者のIDを設定、管理
・管理者のみの特権IDの発行
・コンピューターウイルス対策
これらの対策により、外部からの不正アクセスに対する制限が設けられ、情報漏洩のリスクを軽減できます。また、内部で情報の改ざんがあった場合にも、アクセス者の特定にもつながるのです。
「内外からのアクセス管理等のシステムの安全性の確保」が不十分な場合、次のようなトラブルへと発展する可能性もあるため注意しましょう。
【例】
・財務に関するデータベースを不正アクセスされ、財務情報が外部に流出した。
・社内システムのデータを内部で改ざんされたものの、アクセス者を特定できなかった。
アクセス管理については監査法人から指摘が受けやすく、特に注意が必要ですので、別のコラム記事で詳しく解説しました。こちらも合わせてぜひご確認ください。
4.外部委託に関する契約の管理
4つ目の要素は「外部委託に関する契約の管理」です。ITシステムに関する改修や管理を外部委託する場合、依頼通りの運営や管理ができているかを評価します。
外部委託は自社の業務を分散し、負担を軽減できる有効な方法であるものの、任せっきりにしてしまうと意図とは違った内容にもなりかねません。また、トラブルの発生時も責任の所在が曖昧になりがちです。委託先との契約に関する管理は次のような内容について行います。
・委託先からの業務報告書の受け取り
・外部委託先への監査
「外部委託に関する契約の管理」が不十分な場合、次のようなトラブルへと発展する可能性もあるため注意しましょう。
【例】
・外部委託先のシステムがダウンし、支払いに関する情報取得に遅延が生じた。
・外部委託先との契約書に監査実施の旨を記載しておらず、監査ができなかった。
外部委託先に対して監査を実施するには、契約時点で監査の実施を条件に盛り込んでおくほうが無難です。
IT全般統制のモニタリングとは
IT全般統制におけるモニタリングとは、統制が適切に実施されているかを評価することです。評価は継続的に行われ、必要があれば統制活動を是正します。
モニタリングは日々実施される「日常的モニタリング」と、業務とは切り離された立場の人(経営者、第三者委員会、監査委員など)によって定期的におこなわれる「独立的評価」の2つに分かれます。モニタリングの例は、以下の通りです。
◯ 日常的モニタリング:管理者による日報のチェック、アクセス状態の管理、部門業務の自己チェックなど
◯ 独立的評価:監査委員会による会計監査、内部統制業務の遂行に関する調査など
日常的モニタリングは、毎日の実施で気づいた点をすぐに是正できる点がメリットです。しかし、あくまで社内の担当者や管理者による実施であるため、モニタリングの評価が甘くなりがちな点はデメリットといえます。
その対策とするためにも「独立的評価」によって第三者からの評価を受け、客観的に指摘事項を受ける必要があります。IT全般統制の有効性を客観的に確認できるでしょう。
今回は、IT全般統制の要素や具体的な機能などについて紹介しました。IT全般統制に対して適切に対応できていない場合、財務情報の信頼性を下げる可能性があります。
社内のITシステムは様々な要素が一体となり機能するものです。効率的かつ効果的に構築・運用するためにもIT全般統制を正しく取り入れることをおすすめします。
よく読まれている関連コラム記事
内部統制・IT統制の事例紹介
キングソフト株式会社様|資料が分かりやすくこちらの要望を理解した上で柔軟に対応いただいた
【キングソフト株式会社様 内部監査室 中村室長】ボリューム感のある内容を依頼していましたが、すんなり進めていただきました。こちらが要望していることをきちんと理解していただいて、かつ、それが正しい形で返ってきていて、それが予算内に収まっているというところが、経営層と話をする立場として非常にありがたかったです。
株式会社ASNOVA様|コンサルの概念が覆された、こちらへ寄り添ってASNOVAメインの進め方をしていただけた
【株式会社ASNOVA 総務人事部 田中部長、口田係長】弊社の課題や”やりたいこと”と逆に”やらないこと”または”今後やりたいこと”に対して柔軟に提案してもらえたので、ぜひ一緒にやっていきたいと思いました。弊社の「できていること」「できていないこと」「今後やるべきこと」を第三者の視点からチェックしていただき、私たちが気づけていなかったことを知ることができました。
株式会社イノフィス様|同じチームメンバーとして技術面と精神面で支えられ、会社としてはメリット・デメリットを見極めた適切な IT 投資を実現
【執行役員 人事総務部長・松原様、人事総務部・渡邉様】全体を可視化し、課題を見極めた上でシステムを導入できるようになり、適切なIT投資ができています。IT統制は指摘事項がなにもなく監査を終えることができました。